since 1998
Tanya Janca (She hacks purple) hat ihre Firma “We hack purple” an Bright verkauft, einem Hersteller eines SAST-Tools. Das wäre nun nichts so tolles, aber ihre Kurse, wie man Application Security angeht, sind nun KOSTENFREI und kosteten vorher mehrere hundert Dollar/Kurs! (Quelle)
Tanyas Buch „Alice & Bob learn Application Security“ (Wiley) hilft sehr gut in das Thema Application Security einzutauchen, daher sind ihre Kurse ebenfalls für Einsteiger gut geeignet.
Das drahtlose Netzwerk in unserem Haus wird von mir immer als unsicher angesehen, da ich der „Sicherheit“ dieser Art der Datenübertragung grundsätzlich mistraue. Wer einmal gesehen hat, wie leicht man sich mittels einiger kleiner Werkzeuge Zugang zum WLAN des Nachbarn verschaffen kann, der weiß was ich meine. Selbst der Standard WPA3 hat nichts daran geändert.
Nun habe ich zumindest mal nzyme installiert, was nun sich noch etwas justieren muss, aber dazu dient, damit man potenzielle Angriffsversuche von außen auf das WLAN angezeigt bekommt. Es ist ein Wifi-Intrusion-Detection-System (WIDS) als Ergänzung zu meiner UTM Appliance (Unified Threat Management), welches diese Services alles abdeckt: Internet-Gateway, Firewall, Virtual Private Network (VPN) Gateway, Virus Protection, Intrusion Detection System, Contentfilter, Spam Protection, Endpoint Protection, Surf Protection, Authentifizierung, Quality of Service (QoS) und Reporting.
Bei mir ist alles wichtige gekabelt und hinter der UTM. Der NAS (Network Attached Storage) und DSL-Zugang sind nicht von außen erreichbar und alles an Zusatzprodukten ist abgeschaltet, schon immer. So empfiehlt es auch die c’t in ihrem Heftchen c’t Security Tipps, woher ich auch die Anleitung genommen habe – und funzt einwandfrei.
Ich werde über meine Erfahrungen berichten. Bei mir läuft es auf einem Raspberry Pi 4 (wo schon Pi-Hole und Flightradar24 drauf laufen). Die Antenne ist eine Alfa AWUS036H mit Realtek RTL 8187L-Chipsatz.
Um mal zu prüfen, ob jemand an meinen iPhone-Daten Interesse hatte, habe ich meinen Apple Silicon mal angeworfen, um das Mobile Verification Toolkit, kurz mvt zu installieren… Sollte pegasus mal hier gewesen sein, könnte es Spuren hinterlassen haben.
Nein, ich jailbreake mein iPhone nicht, sondern nutze ein lokales Backup. Das Sicherheitssystem von Apple finde ich per se besser als der Mist, der sonst so am Markt ist. Einer der Gründe, warum ich auch jedem rate keine Virenscanner auf macOS zu nutzen, sondern andere Abwehrmechanismen, die deutlich besser zum Betriebsystem passen.
Das ist aber ’ne andere Geschichte…
Hier die Schritte:
brew install python3 libusb cd <entwicklungsprojekte> git clone https://github.com/mvt-project/mvt.git cd mvt pip install --upgrade pip --user pip install nose pip install matplotlib # Rust installieren curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh # immer noch in <entwicklungsprojekte>/mvt installiert man nun pip3 install . # um sein Gerät am USB auszulesen brew install --HEAD libimobiledevice # test ideviceinfo # LOKALES Backup über den Finder anwerfen # RTFM https://mvt.readthedocs.io/en/latest/ios/backup/itunes.html mvt-ios decrypt-backup -p password -d /irgendwo/wo/platz/ist ~/Library/Application Support/MobileSync/<Tolle-Nummernfolge> # danach sieht man hübsche Kommandoantworten wie in 'tollen' Hacker-Filmen (siehe Beitragsbild) # Analyse Files in STIX2-Format von Amnesty git clone https://github.com/AmnestyTech/investigations.git mvt-ios check-backup -i <entwicklungsprojekte>/investigations/2021-07-18_nso/pegasus.stix2 --output /output/wo/platz/ist /irgendwo/wo/platz/ist
Lt. HEISE muss man sich nur Sorgen machen, wenn ein WARNING mit Hinweisen auf Pegasus im letzten Schritt angezeigt werden würde. Die timeline.csv offenbart so manches altes Schätzchen… sehr spannend was man so die JAHRE über gemacht hat… und das das alles aufbewahrt wurde.
Ich hatte mir schon länger überlegt, neben der obligatorischen Firewall im DSL-Router, eine ‚wirkliche‘ Firewall vor meinen Switch zu hängen, da das Vertrauen immer weiter sinkt (siehe Cyberattacke 2016).
CISCO (Breach 2020) und auch Zyxel (letztere mochte ich noch nie und Backdoors sind auch eine ganz tolle Idee) kamen nicht infrage und da bekam ich die Empfehlung einer Endian Firewall:
Endian Firewall Community präsentiert sich als schlüsselfertige, Linux-basierte Sicherheits-Software für den Heimbereich sowie für kleine Netzwerke. Wirft man allerdings einen Blick in die Foren, so sieht man, dass die Firewall durchaus auch in größeren Netzwerken zum Einsatz kommt. Mit EFW lässt sich jede Hardware-Appliance in eine vollwertige Unified-Threat-Management-Lösung (UTM) verwandeln. Mittlerweile verzeichnet die Firewall über 2 Millionen Downloads weltweit.
Quelle: Linux Magazin 5/2021, besucht 30.5.2021
Ich habe das kleine Stück schon im November 2020 erworben, also eine Variante mit Appliance und Support (ich bin in solchen Dingen nicht mehr so fit wie vor 20 Jahren und brauche Support :-). Leider störte mich an der UTM Mini 25 der Lüfter und habe ihn einfach abgeklemmt. Danach habe ich die Luftzirkulation verändert, indem ich neben dem Kühlkörper des Prozessors Löcher hineingebohrt habe (ja, das Gerät ist niegelnagelneu, mir egal, ich hasse Lüftergeräusche :-)). So wird die warme Luft über dem Kühlkörper von alleine abgegeben. Frage auch an den Distributor (der den Hersteller kennt), warum man die alte UTM Mini 25 ohne und die neue mit Lüfter ausliefert…. Small Office Home Office (SoHo) ist ja deren Zielmarkt und das stehen die Dinger nicht im Rechenzentrum.
Ansonsten muss man sich an das Linux-typische „geht-sieht-aber-langweilig-aus“ als verwöhnter NeXT/Apple-User etwas gewöhnen, aber die Firewall kann alles, hat alles was man braucht und alles was mir an Verbesserungen auffällt gebe ich auch dem Hersteller zurück, denn es wäre schön, wenn eine auf open source basierende Variante von digitaler Selbstverteidigung auch weiterhin gute Appliances liefert.
grep -rnw '/var/signatures/snort' -e '2012647'
Trotz ruckeligem Start habe ich nach einiger Zeit und einigen Tests, sowie Modifikationen, die kleine Unified-Threat-Management-Lösung lieb gewonnen und seit heute ist sie von der Testphase in die Live-Phase gewechselt.
Technisches Datenblatt (Endian), besucht 30.5.2021
Eine, wie ich finde, sehr schöne Lektüre, damit nicht jemand sagen kann, sie/er habe nichts gewusst. Doch! Wir wissen es! Wir benutzen es! Und weil es so schön einfach ist, verlinke ich den Artikel mal via Google Books, einfach mal so….
Ach ja, da war noch was: Ich habe der c’t mal geschrieben, ob die das so toll finden, dass 35 von 161 Seiten (22%, nicht ganz, aber fasst 1/4) durchgängig als Probe zu lesen sind!?
Ich bin schon seit OS/2-Zeiten jemand, der eher auf Robustheit, gute Konzeption und Einfachheit anstatt „Featurewahn“ steht. Ich nutze heute noch Programme, die nur eine Sache sehr gut erfüllen, dafür aber genau das und für mich transparent.
Nun ist in der Pandemie wieder das alte Lied angeworfen worden, den die OS/2-Kämpfer/innen (Warp) schon gegen die Windows-Fraktion (Win) verloren hatten: Win war schicker und hatte vieles an Funktionen, die man auf Warp tlw. händisch nachpflastern musste, aber Warp war recht sicher, robust und transparent in dem was es tat. Win war anfälliger, unsicherer und Plug&Pray-Sprüche stammen aus dieser Zeit.
Heute wollen wir Videokonferenzen, virtuelle Tagungen, Inhalte kollaborativ nutzen und zwar schick und jetzt! Sicherheit? Privatsphäre? Profiling? Big Data-Analyse? „Mir doch egal!“ Selbst wenn es mal klappert, könnte man mit etwas manuellem Aufwand Datensammlerm von nachweislich schlampigen, aber weit genutzter Kollaborationssoftware durch Nichtnutzung in die Schranken weisen, aber…
…wer die Geschichte des „OS-Wars der 90er“ kennt, weiß wer sie „gewonnen“ hat. Schade, aber wir in der IT wollen oder können nicht aus der Vergangenheit lernen, auch wenn alle nun Linux oder Mac schreien, so ist der Anteil nach wie vor der, den die Warp-Kämpfer/innen noch in Erinnerung haben: Gering.
Quelle: Statista
Die Schiffsbrücken-, Geldautomaten-, eben kritische… Software lief auf Warp, aber die Masse eben auf Win, gell, liebe Unixoider/innen?!
Bis heute ist mein Haushalt windowsfreie Zone, aber werde ich mich auch der reloadeten Version widersetzen können? Keine virtuelle Konferenz besuchen, wo ich mich daten-nackig mache? Bin ich wieder die Minderheit und muss mich fügen und Scott’s Losung „there is no privacy, get over it“ fügen?
Ich habe keine Antwort darauf, hoffe aber, wie in „The Day After“ , dass da noch jemand da draußen ist….
[UPDATE 26.7.2020]
Alle benutzen Zoom…. ahja… sehr spannend, wenn IT’ler einem Flöhe in die Ohren setzen… – die Umfrage ist während der Corona-Zeit (5/2020) gemacht worden 🙂
Quelle Statista
Am 24. März 2018 verabschiedete ich mich von Fratzenbuch, da der Cambridge-Analytica-Skandal bei mir das Faß zum Überlaufen brachte. Seit der KW26 ist nun Twitter bei mir Geschichte und liebe Bekannte und alte Weggefährten fragten warum und wie sie mit mir in Zukunft in Kontakt bleiben können. Dafür erst einmal Danke! Diese Seite hat ein Impressum, wie es sich gehört und zudem habe ich nach wie vor meinen Threema-Account (u.a.). Wer was von mir möchte, findet mich.
Ich kommuniziere gerne persönlich, also IRL (in real life), anstatt über Schriftwechsel oder soziale Nachrichten. Da ich mich einem Thema gerne auch mal über provokante und polarisierende Aussagen nähere („aus der Reserve locken“), das Spiel mit Kommunikationsmitteln eben liebe („was passiert dann“-Maschine), sind soziale Medien mir einfach zu flach. Ich brauche die Reibung, die Konflikte, die Emotionen…. auch ein strittiges Thema auszufechten ist für mich keine Belastung, sondern eher Befreiung. Können manche Menschen nicht mit um. Ich habe da in den letzten Jahren meine „emphatischen Fähigkeiten“ verbessert, aber die sind ausbaufähig, da ich diesen Weichspülmodus (alle haben sich lieb) nur bedingt akzeptiere, denn es muss am Ende auch was dabei rauskommen, damit es voran geht.
Eher konfliktvermeidende Menschen können wohl mit den sozialen Medien mehr anfangen, denn sie können Dinge ignorieren, Antworten wohl überlegt zu dem Zeitpunkt schreiben wo sie eine Antwort abgewogen haben. Grenzen ausloten, auch mal eine Aussage raushauen oder eine Emotion preisgeben, die eben nicht wohl temperiert und überlegt ist, hat auf Twitter und auch auf anderen Plattform meistens nicht nur gute Reaktionen zur folge.
Bei Twitter kommt noch erschwerend hinzu, dass ich gerne meine Quellen aus denen ich mir meine Meinung beildet habe, schwer unterbringen kann. Es ist dort nicht üblich. Ich habe aber im Informationszeitalter (als die Mailboxen die Welt eroberten) gelernt, dass es ratsam ist, den Wert einer Information oder auch nur die Richtigkeit zu überprüfen, da man sonst auf falschen Annahmen sein Meinungsbild baut. Als Tester bzw. qualitätsliebender Mensch versuche ich auf Basis von Fakten und Regeln zu agieren und nicht auf „Trends“. Trends müssen deren Verbesserung auch beweisen, damit ich sie gut finden kann…. (das wäre aber eine längere Geschichte)
Zu Corona wurde der Anteil an guten Informationen immer weniger. „Gefährliche Halbwahrheiten“ überschwemmten dann die Feeds.
Ich werfe nicht alle meine Wertevorstellungen über Bord, nur weil ein Virus mich zu neuem Handeln bewegt – Veränderung ist für mich normal. Persönliche Schutzmaßnahmen gegen eine Pandemieausbreitung, Einsatz von Remote-Arbeitswerkzeugen, Zusammenarbeitsformen mit Kolleginnen und Kollegen uvm. ist und war auf einmal im Umbruch. Nur, ich habe zumindest ausreichende Grundkenntnisse in Sachen Viren (Ausbildung in der Lebensmittelindustrie und Mikrobiologie war eines meiner Lieblingsfächer), habe seit Anfang der 2000er Jahre mit remote Arbeitstools zu tun und zudem bin ich schon seit den 90ern in Sachen Privatsphäre und Sicherheit unterwegs und habe auch Zusammenarbeitsformen mit voran getrieben, die es Kolleginnen und Kollegen vor Corona ermöglicht haben am Teamleben teilzunehmen, auch wenn sie nicht vor Ort waren. Das war vor Corona auch nie einfach, denn man muss für „soziale Nähe“ etwas tun – von beiden Seiten! Tools, die aber meine Daten dann verschleudern als wären es ihre, die sich um die Sicherheit von gesicherter Kommunikation ’n Dreck kümmern, unterstütze ich eben nicht, nur weil sie ertappt wurden und „nachgebessert“ haben.
Twitter hat nun das hochgespült, was ich immer dadurch umgangen habe, indem ich mich nur mit Menschen umgebe, die ich mag. Bei Twitter ist das aber leider nicht verhinderbar in den Sog gezogen zu werden und daher entziehe ich mich dem.
Was jetzt wenigstens passiert, dass auch Typen wie Trump & Co. die Grenzen ihres Auswurfs an Blödsinn seitens der Betreiber aufgezeigt bekommen. Zu Mailbox-Zeiten war v.i.s.d.P. (verantwortlich in Sachen des Presserechts) der …… genau Betreiber!
Mal sehen, ob es auch soziale Medien gibt, die es lohnt kennenzulernen – gerne eMail an mich.
Ich habe seit Ende 2016, auf Basis von Informationen, die hauptsächlich von Declan O’Riordan stammen, angenommen, die Grundidee der Interactive Application Security Testing Technik beruhe auf dem Metadata Facility Framework, welches unter dem JSR 175 in Java eingeführt wurde. Matthias Rohr hielt am 23. Oktober 2019 einen Vortrag im Rahmen des OWASP Stammtisches in Hamburg und war über meine Nachfrage, warum er dies unerwähnt gelassen habe, sehr verwundert, da er nur die Instrumentierung des Codes als Schlüssel zum Erfolg darstellte, und so habe ich Jeff Williams, Gründer und (Mit-) Erfinder der Technik und eines der IAST-Tools, direkt via LinkedIn angefragt und die korrigierende Aussage am 27. November 2019 bekommen:
„Hi Jogi – we don’t use JSR175. We use standard Java Instrumentation API. That’s the breakthrough innovation that enabled Contrast to exist. We use all our own sensors and analysis engine on top of that API. We had to invent different instrumentation techniques for .NET, .NET core, Node.js, Ruby and Python.“
Jeff Williams, Co-Founder and CTO at Contrast
Nun, an den Ergebnissen der Technik ist in meinen Präsentationen nichts falsch, da ich sie ja auch selber durchgeführt habe, nur ist es eben etwas anderes, wenn man durch Code-Instrumentierung Aktionen auslöst (Dtrace, den Tracer von Sun, den ich immer als Vergleich auf Betriebsystemebene herangezogen habe, macht dieses nämlich auch!) oder „mitlaufende“ Metadaten analysiert werden. Der Code wird zur Laufzeit in dem Application Container „angefasst“ (verändert) während das bspw. bei Ausnutzung der JSR 175 nicht unbedingt notwendig gewesen wäre, da die Metadaten ja „mitlaufen“.
Danke an Matthias Rohr für den Hinweis, der mich dazu nötigte meine unreflektierte Übernahme einer Aussage nun zu korrigieren. Ich werde die Dokumente, sofern sie unter meiner Kontrolle sind, entsprechend anpassen.
Als mich jemand fragte, ich möchte doch mal einen Artikel lesen und, wenn ich ihn gut finde, bei mir verlinken, war das ein „Arbeitsauftrag“ für mich, denn ich verlinke nichts, was ich nicht selber unterschreiben würde. Es ging um das Thema Darknet, Tor etc.
Nun, selbst wenn man sich seit sehr langer Zeit mit dem Thema Verschlüsselung, Sicherheit, Anonymisierung, Datenschutz und Privatsphäre, aus eigenem Interesse und / oder beruflich, auseinandersetzt, wachsen Erkenntnisse manchmal über einen längeren Zeitraum, aber eines, dessen bin ich mir sehr, sehr sicher:
VPN (Virtuelles privates Netzwerk) ist kein Anonymisierungswerkzeug! Ein VPN-Tunnel dient dazu bspw. am öffentlichen WLAN (Café, Bahnhof, etc.) nicht ausspioniert zu werden, da sichergestellt wird, dass zwischen Dir und dem VPN-Dienst, dessen Server Dein Eingangstor zum Internet ist, keine [wo]man-in-the-middle-Attacke (Die/Der Angreifer*in greift zwischen zwei Endpunkten die Informationen ab) so einfach möglich ist. [1][2]
Es ist aber eben nicht so, dass man damit dann anonym unterwegs ist oder man unbedingt ins Darknet mit einem VPN-Dienst muss, im Gegenteil. Es ist nur so, dass uns das suggeriert wird, aber wenn der Onkel Richter eine Verfügung ausstellt und der Dienst dann die Daten rausrücken muss, hat es sich mit Deiner Anonymisierung. digitalcourage aus Bielefeld hat in einem Artikel aus dem Jahre 2018 [3] dazu, neben den oberen beiden Links, auch noch diesen [4], der es vielleicht noch mehr verdeutlicht das VPN nicht zur Anonymisierung taugt.
Nun steht man also mit „abgesägten Unterhosen“ schon mal ohne VPN im Internet. Was ist den nun mit Tor?
Um meine Anonymisierung zu erreichen, schnappe ich mir nun diesen Tor (The Onion Router, benannt nach dem Konzept der Zwiebel, da die Verschleierung der Identität in etwa dem des Zwiebelprinzips entspricht) und dann bin ich aber anonym…. Nein!
Wiederum digitalcourage beschreibt [5] korrekt das es auf die richtige Nutzung ankommt:
Journalist*innen, Menschenrechtler*innen, Wiederstandsbewegungen, etc. in „nicht so netten“ Ländern kennen diese Regeln sehr gut und es gehören bestimmt noch einige andere Kniffe dazu.
Trotz all dieser technischen Maßnahmen und Vorkehrungen, ist nicht gesichert, dass man anonym bleibt. Der entscheidende Faktor ist das eigene Verhalten. Wie auch IRL (im realen Leben, in real life), bekommen Überwachungs- oder Ermittlungsbehörden das was sie wollen, da jemand den Mund zu voll nimmt, einen Fehler in seinem/ihrem Verhalten begeht…. ganz klassisch eben [6].
D.h. wenn Du in Ruhe gelassen, nicht verfolgt und nicht ausspioniert werden möchtest, musst Du neben den technischen Dingen auch Dein Verhalten anpassen. Das kann man lernen, aber man sollte früh damit anfangen und d.h. liebe Eltern: Bringt es Euren Kindern bei, wenn sie IRL verlassen und Cyberpunks werden, also mit 5 Jahren 🙂
Ich denke mein Artikel ist etwas länger geworden, weil es eben nicht Schnipp-Schnapp geht sich im Internet anonym zu bewegen und wenn, dann muss man einiges dafür tun und hat dann immernoch keine 100%ige Sicherheit.
Ich selber möchte nur in Ruhe gelassen werden und möchte meine Daten unter meiner Kontrolle behalten und das ist schwer, aber wir haben ein Recht auf Freiheit und Selbstbestimmung, welches ich nur durchsetzen möchte.
Waffen oder illegale Drogen waren nie meins und daher bestelle ich auch keine. Ich finde es wichtig Menschen einen Raum zu geben, wo sie die Freiheit besitzen über Wahrheiten zu reden ohne dafür verfolgt zu werden – in verschiedenen Ländern der Erde kann das das Todesurteil für einen bedeuten! Die Menschen in Europa kennen das nur am Rande und daher nehmen die Medien gerne das Darknet um Klicks für ihre Seiten zu bekommen, verstanden haben sie oftmals nichts von den Konzepten.
Freiheit bedeutet auch immer Risiko und Spinner*innen, die das Ganze gegen die Gesellschaft verwenden – Kinderschänder, Pornosammler, Nazis, Hetzer, Radikale aller Art – die gibt es IRL aber leider auch und wieso sollte das Darknet davor Halt machen? Bspw. verwende ich beruflich Hackertools, die eigentlich mal dazu geschrieben worden sind, um Schwachstellen auszunutzen, nur verwende ich es umgekehrt um Dinge sicherer zu machen – es gibt, wie so oft, immer zwei Seiten einer Münze.
Reglementierungen gab es zu meiner Zeit auch und es war höchst illegal ohne FTZ-Sigel ein Modem zu betreiben, aber war es sinnvoll? Nein! Wenn also „Heimathorst“ etwas reglementieren möchte, so glaubt er die Kontrolle zu haben, jedoch wird auch er schnell merken: Die Infrastruktur des Internets wurde geschaffen um sie nicht kontrollierbar zu betreiben, exakt so, wie wir es mit Bulletin Board Systems (aka MailBox) auch einst taten.
Zurück zur Anonymisierung: Es ist weder illegal noch ist es 100%ig möglich, aber es macht Sinn sich zu schützen, denn andere haben mit den Profildaten eines Menschen (Identität) im digitalen Zeitalter ganz andere Dinge vor und dagegen wehre ich mich so gut ich kann, wie man es IRL auch tun würde, wenn man angegriffen würde….
Security Testing durch Instrumentierung verspricht bei DevSecOps bessere und schnellere Ergebnisse als gängige Scan-Verfahren. Erfahren Sie in Theorie und Praxis, was hinter der Methode steckt.
Scannen Sie noch oder instrumentieren Sie schon? Denn neue Test-Methoden können die Anwendungssicherheit während der Entwicklung und im laufenden Betrieb effizient steigern. Hören Sie nicht nur die Theorie vom Hersteller, sondern auch den Praxisbezug des QA-Spezialisten Jörg Sievers von der Ponton GmbH in Hamburg und seine Erfahrungen mit neuen Security-Testmethoden aus Anwendersicht.
Quellcode zu scannen (Static Application Security Testing, SAST) und Anwendungen dynamisch zu testen (Dynamic Application Security Testing, DAST) sind wichtige Bestandteile funktionierender DevSecOps-Prozesse, generieren jedoch zu viele Falschmeldungen oder liefern nicht ausreichend Ergebnisse. Weiterhin ist Scanning mittels SAST sehr zeitintensiv oder DAST benötigt Experten zum Vorbereiten von Tests und deren Interpretation. Manuelles Pentesting kommt schon aus Zeitgründen nicht jedes Mal zum Einsatz.
Für DevOps, die ShiftLeft-Methodology und mehrfaches Deployment am selben Tag sind Interactive Application Security Testing (IAST) und Runtime Application Self-Protection (RASP) wesentlich besser geeignet. IAST und RASP ermöglichen zeitnah akkurat Ergebnisse für unterschiedliche Anwenderrollen in den jeweils präferierten Werkzeugen.
Wir freuen uns auf Ihre Teilnahme!
Ihre Referenten:
Mirko Brandner Jörg Sievers
Senior Sales Engineer / QA Specialist
Technical Evangelist Ponton GmbH
Contrast Security
Quelle: https://www.security-insider.de/agile-applikationssicherheit-in-echtzeit-fuer-devops-v-41422-12645/